Bespioneren van gebruiker mogelijk door kwetsbaarheid in camera

9 reacties

Volgens het laatste Internet of Things-onderzoek (IoT) van Eset, lijdt de D-Link DCS-2132L-cloudcamera aan meerdere beveiligingskwetsbaarheden die toegang kunnen geven aan onbevoegde partijen. Op basis van de gedeelde informatie heeft de fabrikant enkele van de kwetsbaarheden verholpen, maar er bestaan nog steeds dreigingen. Het grootste probleem zou bestaan uit de onversleutelde verbinding van de videostream. Zowel de verbinding tussen de camera en de cloud, als die tussen de cloud en de app van de klant is onversleuteld. Dit geeft de mogelijkheid tot man-in-the-middle-aanvallen (MitM) en laat indringers de videostream van slachtoffers bespioneren, aldus een medewerker van Eset.

 

Een ander probleem met deze camera werd ontdekt in de webbrowserplug-in van 'myDlink services'. Dit is één van de manieren waarop men de viewer app kan gebruiken; andere apps, zoals de mobiele variant, waren geen onderdeel van het onderzoek. De webbrowserplug-in beheert de TCP-tunnel en het afspelen van de livevideo in de browser van de klant. De plug-in is echter ook verantwoordelijk voor het doorsturen van datastreamverzoeken voor video en audio via een tunnel, welke zich bevindt op een willekeurige port op localhost. De kwetsbaarheid van de plug-in biedt aanvallers de mogelijkheid legitieme firmware te vervangen voor bijvoorbeeld hun eigen gemanipuleerde versie of een versie met een achterdeur.

 

Eset heeft de gevonden kwetsbaarheden gerapporteerd aan de fabrikant. Enkele van deze kwetsbaarheden, met name de myDlink-plug-in, zijn sindsdien aangepakt en verholpen middels een update. De problemen omtrent de onversleutelde verbinding houden echter nog stand.

Desgevraagd gaf D-Link ons de volgende reactie:

On 2nd May 2019, ESET disclosed potential camera vulnerability on DCS-2132L that may allow attackers to tap into the video stream. We have promptly started our investigation, and we will provide updates as soon as we have more information. D-Link takes the issues of network security and user privacy very seriously. We have a dedicated task force and product management team on call to address evolving security issues and implement appropriate security measures. Please check the D-Link website for updates.

Bron: Eset


Besproken product

Vergelijk  

Product

Prijs

D-Link DCS-2132L

D-Link DCS-2132L

  • 1280x720
  • Draadloos netwerk
  • Infrarood LEDs
Niet verkrijgbaar
« Vorig bericht Volgend bericht »
0
*